全港有逾百間分店、以人面識別作為唯一入場認證程序的連鎖健身室 24/7 Fitness (下稱 24/7)上月向會員發信,為已簽訂的合約增加附錄文件,保留該公司及「關聯人士」將會員的生物資料作統計或直銷用途的權利。有分店職員表示,即使會員沒有回覆電郵,亦會視作同意有關條款、若不同意則只能取消會籍;有會員在向私隱專員公署投訴後,方獲 24/7 回覆指生物識別資料將僅會用作會員進入場所之用。
前私隱專員、大律師黃繼兒表示,若公司使用個人資料的目的與收集資料時所聲明的不同,並在未另外徵得資料擁有人的明確同意下使用有關資料,便涉違規,又指「唔覆當同意係唔得」。
有會員向個人資料私隱專員公署投訴後,24/7 改口稱不會在未獲明確同意下,使用會員個人資料作直銷。私隱公署指就事件接獲兩宗投訴,上月底展開循規審查,兩度去信健身室待進一步回覆。記者上月底電郵向 24/7 查詢,截稿前一直未獲回覆。公司今午在《集誌社》社交媒體留言指,是按私隱公署指示向會員發合約附錄,會員不回覆會被視為不同意接收宣傳通知,不涉轉讓或出售會員資料,已電郵和會員澄清「附錄字眼上的誤解」。
24/7 增修「生物資料」條款延續會員資格被視作「同意」
24/7 會員梁先生向《集誌社》表示,於上月 25 日接獲其簽約分店發出電郵。電郵沒有任何內文,只附加一份題為「會員條款與條件附錄」的文件,最頂印有「重要提示」,列明「透過延續您的 24/7 Fitness 會員資格,您將被視為已接受並同意受本附錄列出的條款與條件的約束」。
附錄就原本的會員協議作四項補充或修訂。原先合約要求會員同意該公司採集包括「臉部的形狀和顏色」在內的生物資料,以確保只有會員能夠進入健身室。新修訂刪去「以作上述用途」字句,改為「並知悉這是本人作為會員進入該設施所必需的」。
附錄另特別列明會對會員的個人資料,包括生物資料保密,但就保留該公司及「關聯人士」在會員同意下,將其生物資料作「統計和/或直銷用途」的權利。有關條文下有兩個可供勾選的選項,包括「本人現同意使用本人個人資料(包括生物資料)以作統計和直銷用途」、及「本人現要求退出接受上述資訊」。梁先生與該公司 2020 年簽訂的合約上亦有相關條文,但當時合約並無特別列明「包括生物資料」。
職員稱不回覆視作同意 會員質疑 24/7 「強迫接受」
梁先生不滿有關修訂,指文件列明延續會籍將被視為接受條款,「咁係咪我再用人面(識別)入場、繼續使用佢服務,就等如同意?」他擔心新修訂下,個人生物資料會被公司轉移予第三方,「第日如果佢哋同海康威視、商湯合作,係咪又等同係關聯方,可以將客人資料賣過去?」梁先生指有同為該健身室會員的友人,獲分店職員口頭回覆,指要同意條款才能繼續使用會籍,質疑健身室「強迫會員接受」新條款。
記者以會員身分透過 Whatsapp 及電話向 24/7 其中一間分店查詢,若不回覆有關電郵而繼續使用健身室,會否被視作同意條款?一名男職員先稱電郵「可以不用回覆」,後指若不回覆便會被視作同意,而若要不同意條款,則只能取消會籍。職員解釋,資料用作「統計用途」是指公司內部統計;至於何謂「關聯人士」,他舉例稱若有客人「走數」,公司便要將客人資料交由律師處理,該律師便是「關聯人士」,強調不會將客人資料提供予第三方。
前私隱專員黃繼兒:唔覆當同意係唔得
曾任個人資料私隱專員的大律師黃繼兒表示,按私隱條例訂明的保障資料原則,機構若要改變原先收集個人資料時所表明的用途,便需要取得資料擁有人新的同意,不可依賴舊有合約上的同意,否則便屬違規。而書面或口頭同意必須明確,「唔覆當同意係唔得」。黃又指公司未獲明確同意下,使用有關資料作直銷用途屬違規,即使公司在新文件上列明續會等如同意條款,亦難免責,強調取得同意的責任在機構。 至於如何定義「關聯人士」,他稱合作夥伴、或與其業務有關的公司,都有機會包括在內。
黃繼兒形容個人資料是基本人權,而生物辨識資料屬於最敏感的個人資料、最需保障,「護照都可以假,但你個瞳孔、你個樣、你個笑容、你個指紋,係無得改。」他認為最好做法是就保護生物辨識資料立法,「點解呃錢就要拉、呃資料就唔拉?因為(唔見)錢容易痛,資料啲人唔覺得痛。」黃又冀當局加強公眾教育,並指若商業機構違規使用生物資料獲利,「當佢普遍性好似電話騙案咁盛行,損失的就是那些無辜的會員。」
會員通知投訴後24/7 改口:未回應不構成明確同意
梁先生收到條款文件後,即連續兩日發送電郵予 24/7,表明不接受個人資料包括生物資料用作統計或直銷用途,一直未獲回覆;他 4 月初向私隱公署投訴,月中再電郵 24/7 指已就事件投訴,翌日便獲對方電郵回覆。
回覆指該公司所收集之任何生物識別資料,「將僅會用作會員進入 24/7 FITNESS 場所之安全認證用途,並將被嚴格限制於此等用途之內」,又指明不會在未獲會員明確同意下,使用其個人資料或向他人提供資料作直接促銷,更特別註明「該同意必須為會員明確表示(可為口頭或書面形式),而未作任何回應或未勾選相關選項,均不構成同意。」
電郵與發給會員的附錄文件內容不一致,但未有廣發予所有會員澄清。記者之後再以會員身分向分店查詢,對方先指若不同意有關條款,可以電郵通知該公司;後又指總公司已向分店發通告,指「任何未經明確授權之同意,將不被視為有效同意」。
24/7:據私隱公署指示發出 公署:一般性建議與附錄無關
記者上月底電郵向 24/7 查詢,截稿前一直未獲回覆。報道發表後,公司在《集誌社》社交媒體留言指,是據私隱公署指示向會員發出、由專業律師草擬的合約補充附錄,當中可讓客人選擇是否接收宣傳通知,而不回覆電郵會被視為不同意。公司強調不涉轉讓或出售會員個人資料,附錄只為加強保障客人私隱選項,已電郵和會員澄清「字眼上的誤解」,又指為免會員誤會將發出更新版本附錄釐清。
私隱專員公署今午回覆指,曾於 3 月初就相關機構收集個人資料完成循規審查,並提供一般性建議,包括機構應於申請表格列明訂明資訊,包括資料可能會被轉移給哪類人士、資料當事人可要求查閱資料權利等,而相關建議與 24/7 的補充附錄無關。
私隱公署接兩投訴、四查詢 兩度去信 24/7
私隱專員公署指就事件接獲兩宗投訴及四宗查詢,公署已就事件於3月31日主動展開循規審查,亦兩度去信該健身室,「正等待有關機構的進一步回覆」。
公署又指指據《個人資料(私隱)條例》第 35C 條及 35E (1) 條,機構將個人資料用於直接促銷前,須採取指明行動,包括告知資料當事人有關權利和資訊,並獲其對如此使用相關個人資料的同意。如無資料當事人同意,則不得將個人資料用於直接促銷。根據條例,違規者一經定罪,可處罰款 50 萬元及監禁 3 年。
私隱公署稱就事件接獲兩宗投訴、四宗查詢,已兩度去信查詢,待對方進一步回覆。
歡迎追蹤以下平台,即時接收《集誌社》最新資訊,及付費訂閱支持!
【付費訂閱《集誌社》】
https://thecollectivehk.com/subscribe/
【訂閱《集誌社》Youtube】
https://www.youtube.com/@thecollectivehk
【Like 《集誌社》IG】
https://www.instagram.com/the_collectivehk/